AICPA（米国公認会計士協会）が定める「トラストサービス基準（Trust Services Criteria / TSP Section 100）」には、以下の5つのカテゴリーが設定されています：

1. セキュリティ※必須
2. 可用性
3. 処理のインテグリティ
4. 機密保持
5. プライバシー

SOC2の評価対象となるカテゴリーは、これらの中から選択しますが、「セキュリティ」はすべてのSOC2報告書において必須項目とされています。

それ以外の4つのカテゴリーについては任意選択項目ですが、「自社の都合」で自由に選べるものではありません。

あくまでも、ユーザー視点（サービス利用者のニーズ）に基づいて、重要と考えられる項目を選択する必要があります。